Qu'est-ce que le contrôle interne ?
Ila fait l’objet de plusieurs définitions. L’une de celles qui font référence est celle du COSO (Committee of Sponsoring Organizations of the Treadway Commission) : « Le contrôle interne est un processus mis en œuvre par l’organe de direction (c’est-à-dire le Conseil d’Administration), les dirigeants et le personnel d’une organisation, et destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants :
- Réalisation et optimisation des opérations,
- Fiabilité des informations financières
- Respect des lois et réglementations en vigueur.
La définition donnée par le Conseil de l’ordre des experts-comptables (1977) s’en rapproche : « Le contrôle interne est d’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre l’application des instructions de la Direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise, pour maintenir la pérennité de celle-ci. »
Ces définitions donnent en premier lieu des indications sur ce qu'il n’est pas : une série plus ou moins longue de vérifications d’opérations. Si le contrôle d’opérations fait partie d’un tel dispositif, ce dernier a une vocation holistique qui concerne tous les aspects de la gestion d’une entreprise et de son management.
Différence avec les audits internes et externes
Le contrôle interne doit en outre être distingué des audits internes et externes (comme ceux conduits par les commissaires aux comptes). Les auditeurs ne font pas partie des agents qui interviennent dans un processus. Ils sont en revanche chargés de porter une appréciation sur le dispositif de maîtrise des risques mis en œuvre à partir d'un référentiel. Ils sont chargés de formuler des recommandations si nécessaires. C'est la différence avec les contrôleurs internes.
Domaines concernés par le contrôle interne
Sa définition doit aussi se comprendre au sens large : elle ne concerne pas seulement la comptabilité, mais l’ensemble des activités de l’entreprise qui peuvent être sujettes à des risques. Les principaux risques portent sur les domaines suivants :
- La conformité aux lois et règlements. Il s’agit d’un élément essentiel dans une réglementation à évolution constante.
- L’application des instructions de la direction générale. Ces instructions doivent être connues et appliquées par les personnes concernées.
- La sauvegarde des actifs. Il ne s’agit pas seulement des actifs corporels, mais aussi incorporels comme l’image et la réputation de l’entreprise.
- La fiabilité des informations financières qui reposent bien souvent sur la maîtrise des risques informatiques. Par exemple, si une partie des informations n’est pas intégrée dans le système d’information, les états financiers en seront faussés, ce qui peut entraîner de mauvaises décisions stratégiques.
Finalité et application de la maîtrise des risques
Le dispositif doit prévoir plusieurs dimensions pour éviter le risque d’erreur ou de fraude.
Définition du périmètre
Il convient en premier lieu de définir le périmètre du contrôle interne, en particulier le cadre géographique, les activités ou processus concernés, les familles de risques qu'il va permettre d’atténuer : risques financiers, de non-conformité avec la réglementation, opérationnels, santé des personnes, environnement…
Identification des processus
Après avoir défini le périmètre, il est indispensable d’identifier les processus concernés avant de recenser au sein de chacun d’entre eux les risques associés.
Documenter les procédures
Il sera aussi prévu de documenter les procédures internes pour y repérer les risques. Par exemple, si plusieurs services interviennent dans un même processus, il peut être judicieux de matérialiser ces tâches transversales. Cela permettra une meilleure coopération et une meilleure coordination entre les services. De même, il convient d’éviter la maîtrise d’un processus par un seul agent. Par exemple, les salariés qui saisissent une facture et ceux qui valident le paiement doivent être distincts pour éviter les données erronées, voir la fraude en établissant de fausses factures pour leur compte.
Autre point important : la documentation des contrôles doit être facilement appréhendée par les agents en charge de les réaliser. Il faut éviter le trop-plein d’informations déconnecté de la réalité opérationnelle. Le contrôle interne doit être adapté à la culture de l’entreprise.
Il convient ici d’éviter un écueil : une description trop fine des tâches avec une multitude de risques associés.
Inventaire des contrôles existants
On identifiera ensuite les contrôles existants : bien souvent ces contrôles existent, mais ne sont pas formalisés. L’idée est de trier les risques en fonction de leur importance et de définir les contrôles à mettre en place (voire pas de contrôle si on estime que le risque est suffisamment maîtrisé). Il est en effet indispensable de proportionner les contrôles aux enjeux propres à chaque processus.
Qui réalise les contrôles internes ?
La situation entre les entreprises de grande taille et les PME/TPE est différente. Les risques et les moyens consacrés à ces opérations ne sont pas les mêmes. Ainsi, une ou plusieurs personnes peuvent endosser le rôle de contrôler interne, surtout si l’entreprise est soumise à la certification de ses comptes. Dans une PME/TPE, il n’existe en général pas de fonction dédiée. L’expert-comptable peut dès lors donner des indications sur les tâches les plus risquées susceptibles de générer des risques.
Le dispositif de contrôle interne amène chaque acteur à y participer à son niveau :
- Le diagnostic clair de l’organisation formalisant une définition précise des responsabilités. L’organisation doit reposer sur des compétences adéquates et s’appuyer sur un système d’information fiable et des outils appropriés.
- La diffusion en interne des informations qui doivent être connues des personnes chargées de les mettre en œuvre . Cela peut passer par exemple par des actions de formation.
- Un recensement et une analyse des principaux risques . Ce diagnostic, pour être opérationnel, doit être réalisé avec les personnes chargées de mettre en œuvre les processus de travail.
- La mise en place de contrôles adaptés aux enjeux par processus mis en œuvre par chaque acteur (il convient pour réaliser les contrôles de les décrire, au plus proche de la réalité du terrain) .
- Un dispositif de surveillance de la mise en place du contrôle interne (les contrôles sont-ils réalisés conformément aux instructions ?).
Autrement dit, cette activité n’est pas seulement l’affaire des dirigeants de l’entreprise. Pour être efficace, il doit concerner tout son personnel. Les dirigeants ont pour mission d’impulser le contrôle interne et de s’assurer de sa mise en place. Les salariés doivent connaître les contrôles les mieux adaptés et les mettre en œuvre.
Auteur - Mickaël Le Bour
Diplômé de l'institut d'études politiques de Bordeaux, Mickaël a rejoint le ministère des finances en 1995. Après une solide formation en comptabilité générale, il a réalisé des audits comptables et financiers sur des structures publiques et privées. Il a également travaillé sur la réglementation comptable et financière des collectivités locales et sur le projet de certification des comptes des entités publiques locales. Il a aussi participé aux travaux de transposition des normes comptables du secteur privé dans la sphère publique locale.
Un commentaire peut-être ?
Commentaires
Il n'y a pas encore de commentaire.